長期にわたるデータ恐喝組織「Silent Ransom Group」が、ITサポートを装い、場合によっては被害者のもとに直接訪問してコンピュータへの物理的なアクセスを得る手口で、米国の法律事務所への攻撃を続けていると、FBIが火曜日に警告を発した。
研究者によると、Contiの解散後に2022年に登場したとみられるこの非公開グループはロシアから活動しており、100件以上の攻撃への関与を主張し、ここ数カ月で活動が急増している。
FBIの警告は、同機関が2023年半ば以降に法律事務所を継続的に標的にしているSilent Ransom Groupについて前回の警告を発してからちょうど1年後となる。このグループは暗号化を行わないが、データ窃取のためのソーシャルエンジニアリングと直接訪問を組み合わせた手口は極めて異例であり、広大なサイバー犯罪のエコシステムの中でも類似の事例は知られていないと、複数の専門家がCyberScoopに語った。
「成功し始める前に、試行錯誤を繰り返した失敗例が数多くあったはずだ」と、Recorded FutureのフィールドCISOであるAllan Liskaは述べた。他のランサムウェアグループが別の戦術やターゲットに移行することを好む一方で、「Silent Ransom Groupは特に法律事務所を狙うことの価値を見出しており、だからこそ余分な労力をいとわない」と彼は付け加えた。
Chatty Spider、UNC3753、Storm-0252とも追跡されているこのデータ恐喝グループは、活動が激しい他のランサムウェアグループほど多作ではない。しかし、法律部門の組織を攻撃する確かな実績により、顕著な影響を与えている。
Halcyonは今年第1四半期に法律事務所・法律サービスに対する134件のランサムウェア事案を追跡しており、同社が同期間に追跡した全ランサムウェア攻撃の6%以上を占め、第4位の標的業界となっている。
この増加は主に、Silent Ransom GroupとランサムウェアサービスのIncによるものだと、HalcyonのRansomware Research CenterのシニアバイスプレジデントであるCynthia Kaiserは述べた。Incは2023年半ばから活動している。
「Silentは法律事務所だけを標的にした最初のグループであり、その分野の組織にとって最も問題となることを明確に理解した上で大手法律事務所を標的にしてきた」と彼女は付け加えた。「データの窃取そのものが法律事務所にとって最大の問題であるため、彼らはそのセクターについての知識をもとに多くの作戦を調整している。」
法律事務所はデータ窃取によって特権や評判に重大な問題が生じるため格好のターゲットであり、それが高額な恐喝要求に応じる可能性が高いという認識につながっていると、Kaiserは述べた。
FBIによると、Silent Ransom Groupのソーシャルエンジニアリング手口は、ITサポートを装ったグループの仲間に電話するよう従業員を促す電話やフィッシングメールで構成される。リモートアクセスツールを通じて従業員のコンピュータへのアクセス取得に失敗した場合、グループは仲間を被害者の場所に直接派遣し、被害者のワークステーションにストレージデバイスを物理的に接続させる。
この追加のステップは独特であり、Silent Ransom Groupをランサムウェアやデータ窃取恐喝における同業者とは全く異なる運用形態に位置づける。一部の攻撃的なデータ窃取恐喝グループは幹部や従業員に対して嫌がらせや暴力的な脅しを行ったことがあるが、データ窃取のための直接訪問は異例中の異例だ。
「Flashpointは、脅威アクターが内部事情を知る協力者と知らない協力者の両方を勧誘または取り込む事例を観察してきたが、彼らが物理的に攻撃者を被害者の場所に送り込む事例は観察していない。この戦術は重大なリスクを伴う。脅威アクターはテクノロジーを使用して現実世界における自分たちの身元を隠すことができるからだ」と、Flashpointのサイバー脅威インテリジェンス業務担当バイスプレジデントのIan Grayは述べた。
Dataminrのサイバーセキュリティアラート戦略ディレクターのJoe Slowikは、潜在的な被害者がなぜこの手口に騙されるのかを疑問に思うのは簡単だと述べた。「しかし、職場における人間は仕事を成し遂げるために他者を暗黙のうちに信頼する必要がある」と彼は言った。
「すべてを疑うことは一見望ましいように見えるが、職場環境に多大な摩擦と不信感をもたらし、恣意的な形で生産性を損なう」とSlowikは付け加えた。「犯罪組織は成功のために人間の弱点と依存性を利用し続けるだろう。これに対抗する責任を従業員だけに課すことは不公平であり、不合理だ。」
FBIは、Silent Ransom Groupが偽ITサポートへの電話をかけたり被害者を直接訪問したりするために使用する人物の詳細を提供しなかった。しかし、グループの運営者がロシアを拠点としていることを考えると、ギグワーカーや下請け業者が共通言語による音声フィッシング電話をかけたり、職場で被害者を訪問したりすることで重要な役割を果たしていると研究者たちは推測している。
Liskaは、このグループが自分たちが犯罪を犯しているとは必ずしも知らないフリーランスの作業者を使っているという印象を受けていると述べた。「彼らは疑わしいと思っているかもしれないが、お金が必要なのだ」と彼は言った。
「アービーズを配達するDoorDashの配達員みたいなものだ」とLiskaは言った。「人々にひどいことをしていると知りつつも、配達のお金をもらっているのだから仕方ない、という感じだ。」
翻訳元: https://cyberscoop.com/fbi-warning-silent-ransom-group-law-firms/
